Hackeo Web en WP

ZHamster

Buenas noches, hace cosa de 1/2 meses sufrimos en la empresa un ataque que nos elimino las webs que tenemos (12 wordpress) en el server y nos cambio el idioma del CPanel installatron a cirilico. Tiramos de backup + cambio de contraseñas y sin ningun problema hasta el viernes pasado.

Resulta que a media mañana revisando una de las web que mas activas tenemos en este momento la web solo mostraba texto, mirando el resto de webs vi que pasaba lo mismo excepto en una. Tire de backup del server y ayer cuando me disponia a verificar que todo funcionaba vi que las webs habian vuelto al estado del viernes y que ahora redireccionaban a otras 3 webs de la cuales 1 instalaba malware.

La solución ha sido tirar de backup a una fecha mas antigua y volver a cambiar todas las contraseñas, mañana ire a primera hora a la ofi y le metere un buen formateo al pc que uso para trabajar por si puede ser una de las vias de infección.

Mi duda es, los 2 ataques han sido diferentes por lo que quiero pensar que han sido 2 personas diferentes aprovechando alguna vulnerabilidad ya sea de wordpress o del propio CPanel y que el segundo ataque de esta semana se debe a que el backup que restaure del jueves estaba ya infectado.

A alguno/a os ha pasado algo similar? que medidas de protección adicionales se pueden emplear para este tipo de situaciones?

Gracias

B

Lo primero analizar por donde han entrado.
Si tenéis un log de registro os debería salir si se ha conectado a traves del CPanel o a través de FTP o el wordpress para inyectar el script que les de acceso.

La otra opción es ver si algún tema tenga código que permita inyectar o no esté actualizado y sea utilizado para la vulnerabilidad. Siempre es importante actualizar los plugins.

Si los temas no son propios o son descargados ajenamente, revisarlos porque pueden venir con regalo. El resto es cambiar contraseñas, limitar los accesos fallidos y el tiempo para volver a intentar los accesos.

1 1 respuesta
Nucklear

¿Tienes logs del CPanel y de los wordpress? ¿Los has revisado? Si es un host compartido y han comprometido un WP es posible que hayan usado alguna contraseña reutilizada en los WP/FTP contra el CPanel.

De todas formas lo principal seria empezar por los logs del webserver para identificar cualquier peticion extraña e IPs y de ahi ir acotando.

1 respuesta
ZHamster

Mil gracias #2 y #3 por la atención.

El server es compartido, acabo de enviar un correo a la empresa donde tenemos alojados los servicios para comprobar los Logs. El tema es propiedad y es el mismo en todas las webs ademas semanalmente suelo hacer 2/3 actualizaciones en plugins y wp por lo que entiendo que en ese sentido estamos salvados.

Mis 2 opciones son que han entrado por cpanel o que mi ordenador esta infectado. A ver como avanza la cosa.

Un saludo

2 respuestas
x0s3

#4 los wp están en la última versión? algún plugin desactualizado? versión de gestor ftp? y del web?
podría ser cualquier vulnerabilidad en alguna de estas cosas y aunque cambiéis de pw os entrarán siempre hasta que parchees...

edit: vale acabo de leer que actualizáis, bueno sigue pudiendo ser el ftp o el web... si me pasas una url por privado te puedo pasar un scan rápido a alguna

Tandro

Por curiosidad tenías el Plugin de WP gdpr compilance en alguna de las webs?

Además, la web puede estar infectada desde antes de mostrar el problema, por lo que no descartes que los plugins hayan sido la causa, normalmente la actualización es para tapar una vulnerabilidad detectada

Nucklear

#4 Que actualices los pluguins no quiere decir que no hayan encontrado algun 0day y lo hayan usado, asi wue yo no descartaria nada hasta que des con la puerta de entrada. Si es algo de tu empresa igual os compensa contratar algun forense para analizar el caso y ver si se han llevado alguna informacion que podais tener en alguna DB.

De todas formas haz backups de todos los logs que tengas para analizar no vaya a ser que roten y los pierdas.

syst3m-

si tienes un correo [email protected] cámbialo ,están enviando mucho spam malicioso que te pide usuario y contraseña para robarte los datos. O no lo cambies pero estate atento a esos correos, parecen oficiales de cPanel.

Usuarios habituales